Términos clave

Este documento proporciona la terminología clave aplicable a Cloud DNS. Revísela para comprender mejor cómo funciona Cloud DNS y los conceptos que lo sustentan.

La API de Cloud DNS se basa en proyectos , zonas administradas , conjuntos de registros y cambios en conjuntos de registros.

proyecto
A Google Cloud El proyecto de consola es un contenedor de recursos, un dominio para el control de acceso y el lugar donde se configura y agrega la facturación . Para más información, consulte Creación y administración de proyectos .
zona gestionada

La zona administrada contiene registros del Sistema de Nombres de Dominio (DNS) para el mismo sufijo de nombre DNS (como example.com ). Un proyecto puede tener varias zonas administradas, pero cada una debe tener un nombre único. En Cloud DNS, la zona administrada es el recurso que modela una zona DNS .

Todos los registros de una zona administrada se alojan en los mismos servidores de nombres de Google. Estos servidores responden a las consultas DNS dirigidas a su zona administrada según su configuración. Un proyecto puede contener varias zonas administradas. Se generan cargos por cada zona por cada día que exista. Las zonas administradas admiten etiquetas que puede usar para organizar su facturación.

zona pública

Una zona pública es visible en internet. Cloud DNS cuenta con servidores de nombres públicos autorizados que responden a consultas sobre zonas públicas, independientemente de su origen. Puede crear registros DNS en una zona pública para publicar su servicio en internet. Por ejemplo, podría crear el siguiente registro en una zona pública example.com para su sitio web público www.example.com .

Nombre DNS Tipo TTL (segundos) Datos
www.ejemplo.com A 300 198.51.100.0

El DNS en la nube asigna un conjunto de servidores de nombres al crear una zona pública. Para que los registros DNS de una zona pública se puedan resolver a través de internet, debe actualizar la configuración del servidor de nombres de su dominio en su registrador.

Para obtener más información sobre cómo registrar y configurar su dominio, consulte Configurar un dominio usando Cloud DNS .

zona privada

Las zonas privadas le permiten administrar nombres de dominio personalizados para sus instancias de máquina virtual (VM), balanceadores de carga y otros Google Cloud Recursos sin exponer los datos DNS subyacentes a la red pública de internet. Una zona privada es un contenedor de registros DNS que solo pueden ser consultados por una o más redes de Nube Virtual Privada (VPC) que usted autorice.

Debe especificar la lista de redes VPC autorizadas que pueden consultar su zona privada al crearla o actualizarla. Solo las redes autorizadas pueden consultarla; si no especifica ninguna, no podrá hacerlo.

Puedes usar zonas privadas con VPC compartida . Para obtener información importante sobre el uso de zonas privadas con VPC compartida, consulta Consideraciones sobre VPC compartida .

Las zonas privadas no admiten extensiones de seguridad DNS (DNSSEC) ni conjuntos de registros de recursos personalizados de tipo NS. Las solicitudes de registros DNS en zonas privadas deben enviarse a través del servidor de metadatos 169.254.169.254 , que es el servidor de nombres interno predeterminado para las máquinas virtuales creadas a partir de imágenes proporcionadas por Google .

Puede enviar consultas a este servidor de nombres desde cualquier máquina virtual que utilice una red VPC autorizada. Por ejemplo, puede crear una zona privada para dev.gcp.example.com para alojar registros DNS internos de aplicaciones experimentales. La siguiente tabla muestra ejemplos de registros en esa zona. Los clientes de base de datos pueden conectarse al servidor de base de datos db-01.dev.gcp.example.com utilizando su nombre DNS interno en lugar de su dirección IP. Los clientes de base de datos resuelven este nombre DNS interno mediante el solucionador de host de la máquina virtual, que envía la consulta DNS al servidor de metadatos 169.254.169.254 . El servidor de metadatos actúa como un solucionador recursivo para consultar su zona privada.

Nombre DNS Tipo TTL (segundos) Datos
db-01.dev.gcp.example.com A 5 10.128.1.35
instance-01.dev.gcp.example.com A 50 10.128.1.10

Las zonas privadas le permiten crear configuraciones de DNS de horizonte dividido . Esto se debe a que puede crear una zona privada con un conjunto diferente de registros, que anula todo el conjunto de registros en una zona pública. Luego, puede controlar qué redes VPC consultan los registros en la zona privada. Por ejemplo, consulte zonas superpuestas .

Directorio de servicios

El Directorio de Servicios es un registro de servicios administrado paraGoogle Cloud Esto le permite registrar y descubrir servicios mediante HTTP o gRPC (mediante su API de búsqueda), además de usar DNS tradicional. Puede usar el Directorio de Servicios para registrar ambos.Google Cloud y no-Google Cloud servicios.

Cloud DNS le permite crear zonas respaldadas por el Directorio de Servicios, que son un tipo de zona privada que contiene información sobre sus servicios y endpoints. No se agregan conjuntos de registros a la zona; estos se infieren automáticamente según la configuración del espacio de nombres del Directorio de Servicios asociado a ella. Para obtener más información sobre el Directorio de Servicios, consulte la descripción general del Directorio de Servicios .

Cuando se crea una zona respaldada por el Directorio de servicios , no se pueden agregar registros a la zona directamente; los datos provienen del registro de servicio del Directorio de servicios.

DNS en la nube y búsqueda inversa para direcciones que no son RFC 1918

De forma predeterminada, Cloud DNS reenvía las solicitudes de registros PTR de direcciones no RFC 1918 a través de la internet pública. Sin embargo, Cloud DNS también admite la búsqueda inversa de direcciones no RFC 1918 mediante zonas privadas.

Después de configurar una red de VPC para usar direcciones que no sean RFC 1918, debe configurar una zona privada de Cloud DNS como zona de búsqueda inversa administrada . Esta configuración permite que Cloud DNS resuelva direcciones que no sean RFC 1918 localmente en lugar de enviarlas por internet.

Cuando crea una zona DNS de búsqueda inversa administrada, no puede agregar registros a la zona directamente; los datos provienen de los datos de dirección IP de Compute Engine.

Cloud DNS también admite el reenvío saliente a direcciones que no sean RFC 1918 al enrutar de forma privada esas direcciones dentro Google CloudPara habilitar este tipo de reenvío saliente, debe configurar una zona de reenvío con argumentos de ruta de reenvío específicos. Para obtener más información, consulte Destinos de reenvío y métodos de enrutamiento .

zona de reenvío

Una zona de reenvío es un tipo de zona privada administrada por Cloud DNS que reenvía las solicitudes de esa zona a las direcciones IP de sus destinos de reenvío. Para más información, consulte Métodos de reenvío de DNS .

Cuando se crea una zona de reenvío , no se pueden agregar registros a la zona de reenvío directamente; los datos provienen de uno o más servidores de nombres o solucionadores de destino configurados.

zona de peering

Una zona de peering es un tipo de zona privada administrada por Cloud DNS que sigue el orden de resolución de nombres de otra red de VPC. Puede usarla para resolver los nombres definidos en la otra red de VPC.

Cuando crea una zona de emparejamiento de DNS , no puede agregar registros a la zona directamente; los datos provienen de la red VPC del productor de acuerdo con su orden de resolución de nombres .

política de respuesta

Una política de respuesta es un concepto de zona privada de Cloud DNS que contiene reglas en lugar de registros. Estas reglas se pueden usar para lograr efectos similares al concepto de zona de política de respuesta DNS (RPZ) del IETF . La función de política de respuesta permite introducir reglas personalizadas en los servidores DNS de la red que el solucionador DNS consulta durante las búsquedas. Si una regla de la política de respuesta afecta a la consulta entrante, se procesa. De lo contrario, la búsqueda continúa con normalidad. Para obtener más información, consulte Administrar políticas y reglas de respuesta .

Una política de respuesta es diferente de una RPZ, que es una zona DNS normal con datos con un formato especial que obliga a los resolutores compatibles a realizar acciones especiales. Las políticas de respuesta no son zonas DNS y se gestionan por separado en la API.

operaciones de zona

Cualquier cambio que realice en las zonas administradas de Cloud DNS se registra en la colección de operaciones , que incluye las actualizaciones de las zonas administradas (modificaciones de descripciones, estado o configuración de DNSSEC). Los cambios en los conjuntos de registros dentro de una zona se almacenan por separado en los conjuntos de registros de recursos, que se describen más adelante en este documento.

Nombre de dominio internacionalizado (IDN)

Un Nombre de Dominio Internacionalizado (IDN) es un nombre de dominio de internet que permite a usuarios de todo el mundo usar un alfabeto o escritura específico de un idioma, como el árabe, el chino, el cirílico, el devanagari, el hebreo o los caracteres especiales del alfabeto latino en nombres de dominio. Esta conversión se implementa mediante Punycode , que es una representación de caracteres Unicode que usan ASCII. Por ejemplo, una representación IDN de .ελ es .xn--qxam . Algunos navegadores, clientes de correo electrónico y aplicaciones podrían reconocerlo y representarlo como .ελ . El estándar IDNA (Internacionalización de Nombres de Dominio en Aplicaciones) solo permite cadenas Unicode lo suficientemente cortas como para representarse como una etiqueta DNS válida. Para obtener información sobre cómo usar IDN con Cloud DNS, consulte Creación de zonas con nombres de dominio internacionalizados .

registrador

Un registrador de nombres de dominio es una organización que gestiona la reserva de nombres de dominio de internet. Un registrador debe estar acreditado por un registro de dominios genéricos de nivel superior (gTLD) o un registro de dominios de nivel superior de código de país (ccTLD).

DNS interno

Google Cloud Crea automáticamente nombres DNS internos para las máquinas virtuales, incluso si no se utiliza Cloud DNS. Para obtener más información sobre DNS interno, consulte la documentación de DNS interno .

subzona delegada

El DNS permite al propietario de una zona delegar un subdominio a un servidor de nombres diferente mediante registros NS (servidor de nombres). Los resolutores analizan estos registros y envían consultas para el subdominio al servidor de nombres de destino especificado en la delegación.

conjuntos de registros de recursos

Un conjunto de registros de recursos es una colección de registros DNS con la misma etiqueta, clase y tipo, pero con datos diferentes. Los conjuntos de registros de recursos contienen el estado actual de los registros DNS que conforman una zona administrada. Se puede leer un conjunto de registros de recursos, pero no modificarlo directamente. En su lugar, se edita en una zona administrada mediante una solicitud Change en la colección de cambios . También se pueden editar los conjuntos de registros de recursos mediante la API ResourceRecordSets . El conjunto de registros de recursos refleja todos los cambios inmediatamente. Sin embargo, hay un retraso entre el momento en que se realizan los cambios en la API y el momento en que se aplican en los servidores DNS autorizados. Para obtener información sobre cómo administrar registros, consulte Agregar, modificar y eliminar registros .

cambio de conjunto de registros de recursos

Para modificar un conjunto de registros de recursos, envíe una solicitud de Change o ResourceRecordSets que contenga las adiciones o eliminaciones. Las adiciones y eliminaciones pueden realizarse en bloque o en una sola transacción atómica, y surten efecto simultáneamente en cada servidor DNS autorizado.

Por ejemplo, si tiene un registro A que se ve así: 

www  A  203.0.113.1 203.0.113.2

Y ejecuta un comando que se parece a esto: 

DEL  www  A  203.0.113.2
ADD  www  A  203.0.113.3

Su registro se ve así después del cambio masivo: 

www  A  203.0.113.1 203.0.113.3

ADD y DEL ocurren simultáneamente.

Formato de número de serie SOA

Los números de serie de los registros SOA creados en las zonas administradas de Cloud DNS aumentan de forma monótona con cada cambio transaccional en los conjuntos de registros de una zona realizado con el comando gcloud dns record-sets transaction . Sin embargo, puede cambiar manualmente el número de serie de un registro SOA a un número arbitrario, incluyendo una fecha con formato ISO 8601, según lo recomendado en RFC 1912.

Por ejemplo, en el siguiente registro SOA, puede cambiar el número de serie directamente desde el Google Cloud consola ingresando el valor deseado en el tercer campo delimitado por espacios del registro: 

ns-gcp-private.googledomains.com. cloud-dns-hostmaster.google.com.
[serial number] 21600 3600 259200 300`
Política del servidor DNS

Una política de servidor DNS le permite acceder a los servicios de resolución de nombres proporcionados por Google Cloud En una red VPC con reenvío de entrada, o bien, sustituir el orden de resolución de nombres de VPC con una política de servidor de salida. Para más información, consulte Políticas de servidor DNS .

dominio, subdominio y delegación

La mayoría de los subdominios son solo registros en la zona administrada del dominio principal. Los subdominios que se delegan mediante la creación de registros NS (servidor de nombres) en la zona de su dominio principal también deben tener sus propias zonas.

Cree zonas públicas administradas para los dominios principales en Cloud DNS antes de crear zonas públicas para sus subdominios delegados. Haga esto incluso si aloja el dominio principal en otro servicio DNS. Si tiene varias zonas de subdominio pero no crea la zona principal, puede resultar complicado crearla posteriormente si decide migrarla a Cloud DNS. Para obtener más información, consulte Límites del servidor de nombres .DNSSEC

Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) son un conjunto de extensiones del Grupo de Trabajo de Ingeniería de Internet (IETF) para DNS que autentican las respuestas a las búsquedas de nombres de dominio. DNSSEC no ofrece protección de la privacidad para dichas búsquedas, pero impide que los atacantes manipulen o envenenen las respuestas a las solicitudes DNS.

Colección de DNSKEYs

La colección DNSKEYs contiene el estado actual de los registros DNSKEY utilizados para firmar una zona administrada con DNSSEC habilitado. Solo se puede leer esta colección; todos los cambios en las DNSKEYs los realiza Cloud DNS. La colección DNSKEYs contiene toda la información que los registradores de dominios necesitan para activar DNSSEC .